СМИ - Обнаружен способ обхода PIN-кодов для бесконтактных платежей Mastercard и Maestro | WEBLOOT.PRO - Заработок в интернете начинается здесь!

СМИ Обнаружен способ обхода PIN-кодов для бесконтактных платежей Mastercard и Maestro

Anonimus

Пресса
263
93
Эксплуатация уязвимости позволяет использовать украденные карты Mastercard и Maestro для оплаты дорогих товаров.

image


Группа ученых из Швейцарской высшей технической школы Цюриха обнаружиласпособ обхода PIN-кодов на бесконтактных картах Mastercard и Maestro. Эксплуатация уязвимости позволяла киберпреступникам использовать украденные карты Mastercard и Maestro для оплаты
дорогих продуктов без необходимости предоставлять PIN-коды для бесконтактных платежей.

Для осуществления MitM-атаки (Man-in-the-Middle) злоумышленнику потребуется украденная карта, два Android-смартфона и пользовательское приложение для Android, которое может вмешиваться в поля транзакции.

Приложение должно быть установлено на обоих смартфонах, которые будут выступать в роли эмуляторов. Один смартфон будет помещен рядом с украденной картой и будет действовать как эмулятор PoS-терминала, обманом заставляя карту инициировать транзакцию и делиться ее данными, в то время как второй смартфон будет действовать в качестве эмулятора карты и использоваться мошенником для передачи измененных данных транзакции в реальный PoS-терминал внутри магазина.

С точки зрения оператора PoS-терминала атака выглядит так, будто клиент платит с помощью своего мобильного платежного приложения, но на самом деле мошенник отправляет измененные данные транзакции, полученные с украденной карты.

Исследовательская группа использовала эту схему атаки в прошлом году, когда они обнаружили способ обхода PIN-кода для бесконтактных платежей Visa. Эксперты успешно протестировали атаку с картами Visa Credit, Visa Debit, Visa Electron и V Pay.

Затем команда ETH Zurich продолжила свое исследование и сосредоточилась на обходе PIN-кодов на других типах карт, которые не использовали протокол бесконтактных платежей Visa. Как оказалось, аналогичная проблема затрагивала и бесконтактные платежи с картами Mastercard и Maestro.

В данному случае разница заключается в том, что PoS-терминалу не сообщается об успешной проверке PIN-кода.

Вместо этого исследователи заставляют PoS-терминал принимать входящую транзакцию якобы от карты Visa, а не Mastercard или Maestro.

Исследователи успешно протестировали атаку с картами Mastercard Credit и Maestro, выполнив транзакции на сумму до 400 швейцарских франков ($439) во время эксперимента.

Mastercard выпустила исправления для данной проблемы в начале этого года, но Visa, похоже, еще не устранила уязвимость.